Тоже модифицированный Win32/TrojanDownloader.Carberp.AD

**Sanek81** · 13.03.2012, 00:13

Здраствуйте, при входе в систему (WinXP SP3) NOD32 ругается "Оперативная память » explorer.exe(1292) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна". При работе в интернете постоянно выскакивает сообщение что заблокированы URL "warmo.ru/...", на диске C появилась какая-то папка xKrpso2mizLCU4s которая неудаляется. AVPtool выдаёт синий экран.., в безопасном режиме недоступен пользователь под которым всё это происходит, NOD32 при полном сканировании не обнаруживает ничего.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.03.2012, 00:14

Уважаемый(ая) Sanek81, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Bratez** · 13.03.2012, 02:34

Сделайте проверку TDSSKiller'ом.

**Sanek81** · 13.03.2012, 18:29

Сделал, нашёл какие-то угрозы, нажал чтобы все удалить вроде после перезагрузки помогло, затем перезагрузился ещё раз зашёл в безопасный режим чтобы удалить ту папку xKrpso2mizLCU4s, затем загрузился опять в нормальном режиме, и снова всё тоже самое, и папка возродилась...

TDSSKiller больше ничего не находит, если указать параметр "проверять цифровые подписи", то обнаруживает ещё 9 угроз. Кстати я смотрю вот в этой теме примерно такаяже проблема http://virusinfo.info/showthread.php?t=117629

**Nikkollo** · 13.03.2012, 18:53

Сделайте в безопасном режиме лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.

Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.

Добавлено через 2 минуты

Файлы C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

**Sanek81** · 13.03.2012, 23:29

Ок, всё прикладываю, TDSKiller логи - первый (по времени) лог, когда он что-то нашёл и я удалил, второй, когда уже всё было чисто, третий, когда поставил галочку на проверку цифровой подписи.

**thyrex** · 14.03.2012, 00:02

Удалите в МВАМ только указанные строки

Код:

Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.

Обнаруженные папки:  7
C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\3 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDA (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDM (Refog.Keylogger) -> Действие не было предпринято.

Обнаруженные файлы:  50
C:\System Volume Information\_restore{A1321A7B-CA42-4975-8CB6-7939B1224946}\RP6\A0005538.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP53\A0013583.exe (Packer.ModifiedUPX) -> Действие не было предпринято.
E:\System Volume Information\_restore{6C084194-93C1-41D3-B10E-24C7B606E9F4}\RP1\A0003507.exe (Virus.Expiro) -> Действие не было предпринято.
E:\System Volume Information\_restore{A1321A7B-CA42-4975-8CB6-7939B1224946}\RP1\A0000120.exe (Malware.Packer.Gen) -> Действие не было предпринято.
E:\System Volume Information\_restore{A1321A7B-CA42-4975-8CB6-7939B1224946}\RP1\A0000315.exe (Trojan.Downloader) -> Действие не было предпринято.
E:\System Volume Information\_restore{A1321A7B-CA42-4975-8CB6-7939B1224946}\RP1\A0000463.exe (Malware.Gen) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP5\A0004117.exe (Malware.Packer.Gen) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP5\A0004311.exe (Trojan.Downloader) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP5\A0004456.exe (Malware.Gen) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP6\A0005376.exe (Malware.Packer) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP6\A0005871.exe (Trojan.Agent) -> Действие не было предпринято.
E:\System Volume Information\_restore{E60BAAA4-FDE2-4E8E-8419-39E30339CD7F}\RP6\A0005875.EXE (Joke.Xmas) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\key.bin (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\3\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\3\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\I40727_9575184375 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\I40727_9592995833 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\I40727_9601206134 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\I40727_9606705671 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\4\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDM\cpfm.bin (Refog.Keylogger) -> Действие не было предпринято.

Сделайте логи RSIT

**Sanek81** · 14.03.2012, 22:04

Всё выполнил, проблема не исчезла. После перезагрузки сначала подумал что всё нормально, даже папка xKrpso2mizLCU4s удалилась, но потом снова создалась, и все те же самые симптомы.. Прикладываю логи RSIT

**Nikkollo** · 14.03.2012, 22:30

Выполните скрипт в AVZ (как выполнить):

Код:

var StartupFolder:string;
begin
StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile(StartupFolder + '\kxFErazL2Ok.exe','');
 DeleteFile(StartupFolder + '\kxFErazL2Ok.exe');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново логи RSIT и приложите.

**Sanek81** · 14.03.2012, 22:56

Всё сделал, проблема исчезла, папку ту удалил, вроде всё нормально, спасибо!

Видимо это какая-то новая зараза, и целая эпидемия из-за неё?

**Nikkollo** · 15.03.2012, 09:23

Еще вот это удалите вручную:

Код:

C:\plg.txt
C:\Documents and Settings\Sanek\Application Data\xKrpso2mizLCU4s

Больше подозрительного не видно.
Рекомендую сменить все пароли.

**CyberHelper** · 16.03.2012, 09:23

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\sanek\\главное меню\\программы\\автозагрузка\\kxferazl2ok.exe - Backdoor.Win32.Gbot.waf ( DrWEB: Trojan.Carberp.276, BitDefender: Gen:Trojan.Heur.Zbot.6, AVAST4: Win32:SmokeLdr-E [Trj] )